Recherche

Le mystère MiniDuke : code d’exploitation PDF 0jour d’espionnage de gouvernement Assembler 0x29A Micro Backdoor

(ou comment utiliser beaucoup de mots cools dans un titre)

Le 12 février 2013, FireEye a annoncé la découverte d’un code d’exploitation 0jour pour Adobe Reader qui permet d’introduire un programme malveillant complexe inconnu à ce jour. Nous avons baptisé ce nouveau programme malveillant « ItaDuke » car il nous faisait penser à Duqu et le code contenait des commentaires en ancien italien extrait de la Divine comédie de Dante Aligheri.

Depuis l’annonce originale, nous avons observé plusieurs nouvelles attaques qui utilisent le même code d’exploitation (CVE-2013-0640) et qui introduisent un autre programme malveillant. Parmi celles-ci, il y a une paire d’incidents à ce point inhabituels que nous avons décidé de les analyser en détail.

Avec l’aide de notre partenaire CrySys Lab, nous avons mené une analyse détaillée de ces incidents qui semblent indiquer l’apparition d’une nouvelle menace inconnue. L’analyse de CrySyS Lab est disponible [ici]. Notre analyse est présentée ci-après.

Principales conclusions :

• Les auteurs de l’attaque MiniDuke sont toujours actifs en ce moment et le dernier programme malveillant qu’ils ont créé date du 20 février 2013. Pour tromper leurs victimes, ils utilisent des techniques d’ingénierie sociale très efficaces qui consistent à envoyer des documents PDF malveillants à leurs cibles. Ces PDF présentaient un contenu très pertinent et soigneusement rédigé sous la forme d’informations relatives à un séminaire sur les droits de l’homme et la politique étrangère de l’Ukraine et ses intentions de devenir membre de l’OTAN.

Malicious PDF

Ces PDF malveillants contenaient des codes d’exploitation pour Adober Reader 9, 10 et 11 qui étaient en mesure de déjouer le bac à sable de l’application.

• Une fois que le système a été compromis, un programme de téléchargement très petit (20 ko seulement) est installé sur le disque de la victime. Ce programme est unique pour chaque système et il contient une porte dérobée personnalisée écrite dans Assembler. Lorsque le programme de téléchargement est chargé au démarrage du système, il utilise un ensemble de calculs mathématiques pour définir l’identité unique de l’ordinateur et utilise ces données pour chiffrer ses communications ultérieures.

• Si le système cible répond aux conditions prédéfinies, le programme malveillant se connecte à Twitter (à l’insu de l’utilisateur) et commence à rechercher des tweets  spécifiques sur des comptes préexistants. Ces comptes ont été créés par les opérateurs de commande de MiniDuke et ils contiennent des tweets avec des balises spécifiques qui désignent des URL chiffrées pour les portes dérobées.

Ces URL donnent accès aux centres de commande qui envoient les instructions potentielles et qui assurent le transfert crypté de portes dérobées complémentaires sur le système via des fichiers GIF.

• Sur la base de l’analyse, il semblerait que les créateurs de MiniDuke proposent un système de secours dynamique qui est également indétectable. Si Twitter ne fonctionne pas ou si les comptes ne sont pas actifs, le programme malveillant peut utiliser Google Search pour trouver les chaînes cryptées d’accès au centre de commande suivant. Ce modèle est souple et permet aux opérateurs de changer en permanence la manière dont les portes dérobées récupèrent d’autres instructions ou codes malveillants en fonction des besoins.

• Une fois que le système infecté trouve un centre de commande, il reçoit des  portes dérobées obfusquées dans des fichiers GIF et présentées sous la forme d’images sur l’ordinateur de la victime.

Une fois qu’elles ont été installées sur la machine, elles peuvent récupérer une porte dérobée plus importante pour réaliser des opérations de cyber-espionnage grâce à des fonctions comme la copie, le déplacement ou la suppression de fichiers, la création de répertoires, l’arrêt de processus et celle-ci peut également télécharger et exécuter un nouveau programme malveillant et des outils de déplacement latéral.

• La porte dérobée de la dernière étape établit une connexion avec deux serveurs  (un au Panama et l’autre en Turquie) pour recevoir les instructions des auteurs de l’attaque

• les auteurs de l’attaque ont laissé un petit indice dans le code sous la forme du chiffre 666 (0x29A hex) avant un des programmes secondaires de déchiffrement :

• L’analyse des journaux des serveurs de commande a permis de détecter 59 victimes uniques dans 23 pays :

Belgique, Brésil, Bulgarie, République tchèque, Géorgie, Allemagne, Hongrie, Irlande, Israël, Japon, Lettonie, Liban, Lituanie, Monténégro, Portugal, Roumaine, Fédération de Russie, Slovénie, Espagne, Turquie, Ukraine, Royaume-Uni et Etats-Unis.

Pour obtenir l’analyse détaillée et savoir comment se protéger contre ces attaques, lisez :

[Le mystère MiniDuke : code d’exploitation PDF 0jour d’espionage de gouvernement Assembler 0x29A Micro Backdoor.PDF]

Le mystère MiniDuke : code d’exploitation PDF 0jour d’espionnage de gouvernement Assembler 0x29A Micro Backdoor

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception